Главная
Новости
Подробнее

Эксплуатация Inertia подчеркивает устойчивые уязвимости ERC4626 в DeFi-кредитовании

iconAMBCrypto
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
INIT
$0,0554696,52 %
This is the logo of the coin.
TIA
$0,31335,16 %
This is the logo of the coin.
USDC
$1,00010 %
AI summary iconСводка

expand icon
Децентрализованный кредитный протокол Inertia пострадал от атаки на сумму $152 000 25 мая из-за уязвимости ERC4626. Злоумышленники манипулировали ценами на залог roETH на пяти рынках — USDC, INIT, sINIT, TIA и roTIA — в течение одного часа и 13 минут. В результате атаки предложение roETH снизилось на 99,7%, а обменный курс вырос в 27 раз — с 1,234 до 33,75 stETH. Инфляционные данные остаются серьезной проблемой, поскольку протокол признал сбои в работе оракулов. Выплаты из страхового фонда восстановили балансы, и кредитование возобновилось. Inertia внедрит проверку оракулов из нескольких источников, более строгие правила залога и аварийные отключения по отклонениям для предотвращения будущих атак. Реакция рынка может отражать изменения в индексе страха и жадности, поскольку трейдеры оценивают риски.

Протокол децентрализованного кредитования Inertia сообщает, что недавний взлом, приведший к хищению примерно 152 000 долларов США через несколько кредитных рынков, был обусловлен давно известным классом уязвимостей ERC4626, который все еще обходил основные защитные механизмы оракулов и управления рисками.

В подробном постмортеме, опубликованном 25 мая, протокол сообщил, что злоумышленники манипулировали ценой коллатерала roETH перед заимствованием активов в пяти кредитных рынках Inertia.

Эксплуатация повлияла на рынки USDC, INIT, sINIT, TIA и roTIA в течение окна атаки, длившегося примерно один час и 13 минут.

объявление

Inertia заявила, что её страховой фонд уже восстановил все затронутые балансы пользователей и подтвердил возобновление операций по кредитованию.

Атака использовала известные уязвимости цены акций ERC4626

Согласно протоколу, злоумышленники использовали комбинацию сокращения предложения и прямых пожертвований токенов для манипулирования обменным курсом контракта roETH с ликвидным стейкингом.

Эксплуатация была основана на известном шаблоне уязвимости ERC4626, связанном с механизмами учета цены акций.

Inertia заявила, что злоумышленники сначала сократили обращаемое предложение roETH примерно на 99,7% с помощью запроса на вывод. Затем они перевели wstETH непосредственно в контракт без выпуска дополнительных акций.

Это резко завысило сообщаемый обменный курс.

Протокол сообщил, что заявленная стоимость roETH выросла с примерно 1,234 stETH за токен до почти 33,75 stETH, создав коэффициент инфляции около 27x.

Затем злоумышленники использовали завышенную стоимость залога, чтобы изъять активы из нескольких кредитных пулов.

Системы защиты Oracle не смогли предотвратить аномальное ценообразование

Inertia заявила, что эксплуатация удалась не только из-за уязвимости контракта жидкого стейкинга, но и потому, что собственные механизмы ценовой защиты не смогли сдержать манипулируемую стоимость обеспечения.

Протокол признал, что его система ценообразования lacked:

  • контроли отклонения верхней границы цены,
  • вторичная валидация оракула,
  • эффективные ответы на реальные уведомления в режиме реального времени,
  • и лимитами процентных ставок по заимствованиям на аккаунт.

Протокол также признал, что уязвимость класса ERC4626 была публично задокументирована с 2022 года и уже имеет широко доступные меры по устранению.

Inertia планирует масштабную переработку системы управления рисками

После инцидента Inertia заявила, что пересмотрит части своей архитектуры оракула и рамки проверки обеспечения.

Протокол планирует внедрить:

  • валидация оракула из нескольких источников,
  • контурные ограничители отклонения,
  • более строгий процесс листинга,
  • и более строгий контроль за активами, используемыми в качестве залога при ликвидном стейкинге.

Inertia также сообщила, что продолжает координировать усилия по восстановлению активов, которые остаются отслеживаемыми в очередях валидаторов, пулах ликвидности и инфраструктуре мостов.

Финальное резюме

  • Inertia сообщила, что злоумышленники воспользовались известной уязвимостью ERC4626 для завышения цен на коллатерал roETH и изъятия примерно 152 000 долларов США из кредитных рынков.
  • Протокол признал неудачи в своих собственных механизмах защиты оракулов и начал внедрять более строгие контрольные меры по ценообразованию и управлению рисками.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.